Prečo hackerov nezastaví blokovanie účtov

Uzamknutie používateľov zo svojich vlastných účtov je až príliš bežným scenárom. Po niekoľkých preklepoch to už nemôžu skúsiť znova, kým neuplynie čas alebo kým si neresetujú heslá e-mailom. Akokoľvek je to frustrujúce, aspoň to zastaví hackerov – alebo áno?

Štatistiky naznačujú opak. Koniec jedna tretina všetkých Američanov ich účty sociálnych médií boli hacknuté napriek štandardným limitom pokusov. Prečo tieto ochrany nezastavia kyberzločincov, ak dokážu uzamknúť samotných používateľov, a ako môžu ľudia zostať v bezpečí?

Ako má zablokovanie účtov zastaviť hackerov

Uzamknutie účtu má zastaviť typ hacku známeho ako útok „hrubej sily“. V najjednoduchšom prípade hrubé vynútenie zahŕňa skúšanie reťazca náhodných vstupov, kým niečo nefunguje. Kyberzločinci na to častejšie používajú automatizované nástroje, ktoré sú oveľa rýchlejšie ako manuálne hádanie hesiel.

Myšlienkou limitov pokusov o prihlásenie je, že získanie správneho hesla bude trvať oveľa viac ako tri alebo tak tri odhady. V dôsledku toho uzamknutie účtu po toľkých pokusoch teoreticky zastaví útoky hrubou silou skôr, ako uspejú. Takto sa však veci odohrávajú len zriedka.

Ako hackeri obchádzajú zablokovanie účtov

Kyberzločinci sa môžu dostať do účtu chráneného heslom niekoľkými spôsobmi. Tu je niekoľko stratégií, ktoré používajú na prekonanie zablokovania účtu, dokonca aj pri útoku hrubou silou.

Offline útoky hrubou silou

Uzamknutie účtu by fungovalo, ak by sa hackeri pokúsili uhádnuť heslo na prihlasovacej obrazovke. Problém je, že to často nerobia. Namiesto toho vykonávajú offline útoky hrubou silou, pri ktorých kradnú údaje o heslách a pokúšajú sa ich prelomiť v inom prostredí, kde neexistujú žiadne limity na pokusy.

Útočníci nemožno uzamknúť po viacerých neúspešných pokusoch, keď vlastnia nespracované zašifrované údaje. Je to preto, že sa ho nepokúšajú dešifrovať online, kde má server tieto ochrany. Namiesto toho berú len údaje o účte a brutálne ich nútia na svojom počítači alebo na inom, nezabezpečenom serveri.

Tieto útoky vyžadujú najprv ukradnutie hesiel z webovej stránky a potom použitie nástrojov hrubej sily na prelomenie šifrovania. Aj keď je to komplikovanejšie ako jednoduché uhádnutie poverení na mieste, zločincom to dáva čas. Aj keď to trvá milióny pokusov, môžu odhaliť heslo v priebehu niekoľkých dní a potom sa prihlásiť ako bežný používateľ na legitímnej stránke.

Žiaľ, často na to netreba milióny pokusov. Napriek dlhoročným varovaniam od bezpečnostných expertov je „heslo“ stále najbežnejší základný termín používané v heslách a 18 % hesiel obsahuje iba malé písmená. Offline útoky hrubou silou sú pre hackerov často jednoduchšie, pretože používatelia nedodržiavajú osvedčené postupy týkajúce sa dĺžky a zložitosti hesla.

Plnenie poverení

Ďalšou možnosťou je použiť vypchávanie poverení. Hackeri tu berú prihlasovacie údaje, o ktorých vedia, že fungovali pre jeden účet, a používajú ich, aby sa dostali do iného. Tieto poverenia často získavajú z minulých únikov údajov, keď iní počítačoví zločinci predali ukradnuté používateľské mená a heslá na temnom webe.

Len12 % celosvetových používateľov internetu pri otváraní nového účtu vždy používajte nové prihlasovacie údaje. Väčšina ľudí používa rovnaké heslá na viacerých stránkach – niekedy aj na všetkých. V dôsledku toho je stávka na istotu, že ukradnutý prístupový kód bude fungovať niekde inde, takže hackeri ho môžu použiť na prihlásenie do účtu len na jeden alebo dva pokusy.

Sociálne inžinierstvo

Hackeri môžu tiež obísť uzamknutie účtov prostredníctvom sociálneho inžinierstva. Toto je taká široká kategória útokov, takže môže pokryť niekoľko stratégií na ukradnutie alebo obídenie prihlasovacích údajov.

Najpriamejším spôsobom je oklamať používateľov, aby útočníkom povedali svoje heslá tak, že sa budú vydávať za dôveryhodný zdroj. Alternatívne môžu počítačoví zločinci poslať e-mail, ktorý tvrdí, že pochádza z legitímnej stránky, s odkazom na prihlásenie do ich účtu. Odkaz však vedie na podvodnú prihlasovaciu stránku identickú so skutočnou stránkou, na ktorej môžu zločinci vidieť, čo používatelia zadávajú.

Takéto útoky sa môžu zdať zrejmé, ale Za pokusy o phishing padlo 298 878 ľudí len v roku 2023. To je viac ako ktorákoľvek iná forma počítačovej kriminality a naznačuje to, že sociálne inžinierstvo je stále vysoko efektívne.

Keylogging a Man-in-the-Middle Attacks

Ďalším spôsobom, ako sa útočníci môžu vyhnúť uzamknutiu účtu, je sledovanie používateľov pri zadávaní hesiel. Existujú dva hlavné prístupy – softvér na zaznamenávanie kľúčov a útoky typu man-in-the-middle (MITM).

Keyloggery sú formou škodlivého softvéru, ktorý môžu počítačoví zločinci doručiť prostredníctvom phishingu, škodlivých webových stránok alebo inými spôsobmi. Po nainštalovaní sledujú, čo používatelia píšu, vrátane hesiel, ktoré môžu hackeri použiť na prihlásenie do účtov ľudí na jeden pokus.

Útoky MITM sú podobné, ale zahŕňajú zachytenie vstupov používateľov – ktoré môžu zahŕňať heslá – predtým, ako sa dostanú na server. Šifrovanie môže zastaviť tieto útoky, ale verejné Wi-Fi alebo nezabezpečené webové stránky sú na ne citlivé.

Ako môžu používatelia zostať v bezpečí?

Dá sa povedať, že uzamknutie účtov nestačí na zastavenie hackerov. Našťastie sa používatelia môžu chrániť dodržiavaním niekoľkých ďalších osvedčených postupov. Lepšia bezpečnosť začína používaním silnejších hesiel. Odborníci odporúčame použiť generátory náhodných hesiel , pretože tieto vytvárajú zložitejšie reťazce znakov, ktoré je ťažšie použiť hrubou silou.

Dobrý nápad je tiež nikdy nepoužívať heslá a pravidelne ich meniť. Tieto kroky znížia účinnosť plnenia poverení.

Používatelia by tiež mali povoliť viacfaktorové overenie (MFA) všade tam, kde je to možné. Je to stále možné hrubou silou za MZV , ale je to oveľa ťažšie ako prejsť cez jednoduchú kombináciu používateľského mena a hesla.

Zastaviť kyberzločincov nie je ani zďaleka jednoduché

Útoky hrubou silou nie sú také jednoduché, ako sa na prvý pohľad zdá, a obrana proti nim je len zriedka jednoduchá. Zatiaľ čo systém blokovania účtov má teoreticky zmysel, v praxi nie je dostatočne bezpečný na to, aby bol jedinou obranou.

Kyberzločinci majú k dispozícii mnoho nástrojov, takže silná ochrana takisto využíva viacero spôsobov, ako zostať v bezpečí. Spárovanie prihlasovacích limitov s dlhými, zložitými a jedinečnými heslami, MFA a častými zmenami prihlasovacích údajov ponúkne najväčšiu bezpečnosť.